UEFI-Rootkit
Was ist UEFI-Rootkit?
UEFI-RootkitEin in der UEFI-Firmware platziertes Rootkit, das vor dem OS lädt, Festplatten-Wipes übersteht und die meisten Endpoint-Schutzlösungen umgeht.
Ein UEFI-Rootkit nistet sich in der Unified Extensible Firmware Interface – dem modernen Nachfolger des BIOS – ein, meist in SPI-Flash-Modulen oder Boot-Treibern. Es läuft vor dem Betriebssystem und kann daher Sicherheitskontrollen deaktivieren, Boot-Komponenten verändern und weitere Malware nach OS-Neuinstallationen erneut ausrollen. Solche Implantate werden meist von gut ausgestatteten Angreifern über Kernelrechte, physischen Zugriff oder Supply-Chain-Kompromittierungen platziert. Schutzmaßnahmen sind strikt durchgesetztes Secure Boot, signierte Firmware-Updates, Measured Boot mit TPM-Attestierung, Integritätswerkzeuge der Hersteller (z. B. CHIPSEC), Boot Guard, BIOS-Schreibschutz und Supply-Chain-Kontrollen für Firmware-Updates.
● Beispiele
- 01
LoJax, das erste öffentlich bekannte real beobachtete UEFI-Rootkit.
- 02
UEFI-Bootkits MoonBounce und BlackLotus, gerichtet auf Unternehmen.
● Häufige Fragen
Was ist UEFI-Rootkit?
Ein in der UEFI-Firmware platziertes Rootkit, das vor dem OS lädt, Festplatten-Wipes übersteht und die meisten Endpoint-Schutzlösungen umgeht. Es gehört zur Kategorie Schadsoftware der Cybersicherheit.
Was bedeutet UEFI-Rootkit?
Ein in der UEFI-Firmware platziertes Rootkit, das vor dem OS lädt, Festplatten-Wipes übersteht und die meisten Endpoint-Schutzlösungen umgeht.
Wie schützt man sich gegen UEFI-Rootkit?
Schutzmaßnahmen gegen UEFI-Rootkit kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für UEFI-Rootkit?
Übliche alternative Bezeichnungen: UEFI-Implantat, EFI-Bootkit.